Azure Storage への要求を承認する

Blob、File、Queue、または Table service 内のセキュリティで保護されたリソースに対するすべての要求には、承認が必要です。 承認により、必要な場合にのみ、アクセスを許可されたユーザーまたはアプリケーションだけが、ストレージ アカウント内のリソースにアクセスできるようになります。

次の表は、リソースへのアクセスを承認するために Azure Storage に用意されているオプションをまとめたものです。

Azure の成果物 共有キー (ストレージ アカウント キー) Shared Access Signature (SAS) Azure Active Directory (Azure AD) オンプレミス Active Directory Domain Services 匿名のパブリック読み取りアクセス
Azure BLOB サポートされています サポートされています サポートされています サポートされていません サポートされています
Azure Files (SMB) サポートされています サポートされていません AAD ドメイン サービスでのみサポートされています サポートされています。資格情報を Azure AD と同期する必要があります サポートされていません
Azure Files (REST) サポートされています サポートされています サポートされていません サポートされていません サポートされていません
Azure キュー サポートされています サポートされています サポートされています サポートされていません サポートされていません
Azure テーブル サポートされています サポートされています サポートされています サポートされていません サポートされていません

ここでは、各認証オプションについて簡単に説明します。

  • Azure Active Directory (Azure AD):Azure AD は、Microsoft のクラウドベースの ID およびアクセス管理サービスです。 Azure AD 統合は、Blob、Queue、Table の各サービスで使用できます。 Azure AD では、ロールベースのアクセス制御 (RBAC) を使用して、ユーザー、グループ、またはアプリケーションに詳細に設定されたアクセスを割り当てることができます。 Azure AD と Azure Storage の統合の詳細については、「Azure Active Directory を使用して承認する」を参照してください。

  • Azure Files の Azure Active Directory Domain Services (Azure AD DS) 認可。 Azure Files では、Azure AD DS を介したサーバー メッセージ ブロック (SMB) の ID ベースの承認がサポートされています。 RBAC を使用して、ストレージ アカウント内の Azure Files リソースへのクライアントのアクセスを細かく制御できます。 ドメイン サービスを使用したAzure Files認証の詳細については、「AZURE FILES ID ベースの承認」を参照してください。

  • Azure Filesの Active Directory (AD) 承認。 Azure Files では、AD を使用した SMB を介した ID ベースの承認がサポートされています。 AD ドメイン サービスは、オンプレミスのコンピューターまたは Azure VM でホストできます。 Files には、オンプレミスまたは Azure で、ドメインに参加しているコンピューターから AD 資格情報を利用することで SMB アクセスできます。 共有レベルのアクセス制御には RBAC を使用し、ディレクトリとファイル レベルのアクセス許可の適用には NTFS DACL を使用できます。 ドメイン サービスを使用したAzure Files認証の詳細については、「AZURE FILES ID ベースの承認」を参照してください。

  • 共有キー: 共有キーの承認は、アカウント アクセス キーとその他のパラメーターに依存して、 Authorization ヘッダーの要求で渡される暗号化された署名文字列を生成します。 共有キーの承認の詳細については、「共有 キーを使用して承認する」を参照してください。

  • 共有アクセス署名: Shared Access Signature (SAS) は、指定されたアクセス許可と指定された時間間隔で、アカウント内の特定のリソースへのアクセスを委任します。 SAS の詳細については、「 共有アクセス署名を使用してアクセスを委任する」を参照してください。

  • コンテナーと BLOB への匿名アクセス: 必要に応じて、コンテナーまたは BLOB レベルで BLOB リソースをパブリックにすることができます。 任意のユーザーが、匿名読み取りアクセスで、パブリック コンテナーまたは BLOB にアクセスできます。 パブリック コンテナーと BLOB に対する読み取り要求に、承認は必要ありません。 詳細については、「 Azure Blob Storage でコンテナーと BLOB のパブリック読み取りアクセスを有効にする」を参照してください。

ヒント

Azure AD を使用して BLOB、キュー、テーブル データへのアクセスを認証および承認すると、他の承認オプションよりも優れたセキュリティと使いやすさが提供されます。 たとえば、Azure AD を使うと、共有キー認可の場合のような、アカウントのアクセス キーをコードと一緒に保存する必要がなくなります。 BLOB およびキュー アプリケーションで引き続き共有キーの認可を使用することができますが、Microsoft では可能な場合、Azure AD に移行することをお勧めします。

同様に、Shared Access Signature (SAS) を使ってストレージ アカウント内のリソースに対するきめ細かいアクセスの許可を続けることはできますが、Azure AD は、SAS トークンを管理したり侵害された SAS の取り消しを心配したりする必要なしに、同様の機能を提供します。

Azure Storage での Azure AD 統合の詳細については、「Azure Active Directory を使用して Azure BLOB とキューへのアクセスを承認する」を参照してください。